若要了解防火牆和存取需求的連接埠參考資訊,請參閱 Cisco Webex Calling 的連接埠參考資訊

對端點的需求

Webex Calling Edge

若要執行 SIP 註冊或呼叫,請完成下列步驟:

  • 找出啟用 Edge 節點的 SIP 終端主機位址。

  • 完成與使用者和裝置組態相關的任何先決條件。

  • 確保端點已與公用網路連線,以便啟動服務探索。

  • 使用區域或資料中心特定的佈建組態,來完成引導端點的先決條件。 此組態可幫助取得與服務探索相關的網域名稱字尾。

比較 IPv4 與 IPv6

裝置可在單版本或雙堆疊模式下運作。 組態決定了對偏好通訊協定的變更,且這些變更並不屬於服務探索的一部分。

  • 單堆疊模式:僅啟用一個 IP 通訊協定(例如 IPv4),而忽略其他通訊協定位址。

  • 雙堆疊模式:透過組態,選擇偏好的 IP 版本。

用戶端會認為所有偏好位址的優先順序皆低於(即,偏好)該 IP 的所有位址。 如果您偏好使用 IPv4,則在嘗試所有 IPv4 位址前,應先嘗試使用 IPv6 位址。 如果所有位址都失敗,系統會再次進入週期,並以優先順序最低的偏好通訊協定位址開始。

收到推播通知後註冊的行動用戶端可以根據先前的註冊,來決定是否最佳化該模式。

從 DNS SRV 位址解析主機位址

在佈建中取得的端點組態檔中,網域指示器會指定用於探索存取 Edge 服務的網域名稱。 以下為網域名稱的範例:

wxc.edge.bcld.webex.com

從此範例可以看出,為此網域執行 DNS SRV 查找的端點後,可能會產生類似以下的回應:


# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.

在此個案中,SRV 記錄指向 AAA 記錄。


sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com

在此範例中,系統以不同的權重和優先順序來通知所有主機,以便聯絡連接埠 5061。

請考慮這些端點需求。

  • 端點必須使用 _sips._tcp (服務和通訊協定組合)作為字首,來執行 DNS SRV 查找,以取得主機位址,藉此發起以 TLS 為基礎的通訊。

  • 端點必須針對 DNS SRV 位址區段的主機位址解析度中所述的條件,來執行 DNS SRV 查找。

  • 端點必須遵循每個主機位址所發佈的主機、連接埠、權重和優先順序。 此外,在 SIP 註冊期間建立套接字連線時,還必須建立主機到連接埠的親和性。

  • RFC 2782 針對 DNS SRV 記錄的使用情況作出了說明,解釋主機選擇標準應依優先順序和權重而定。

對 SIP 和媒體的需求

需求

說明

公開金鑰加密所需的信任憑證

請參閱文章,了解 Webex 憑證的簽署授權單位和裝置上所需的根 CA

支援安全 SIP 的 TLS 版本

TLS 1.2

支援安全 SIP 的 TLS 密碼

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

支援安全媒體的 SRTP 金鑰

AES_CM_128_HMAC_SHA1_80

使用 mTLS(雙向 TLS)時所需的安全 SIP

此處提供了這些需求的詳細說明。

您需具備簽署憑證才能成功授權和驗證來自 trunk 的呼叫。 憑證必須符合下列需求:

  • 憑證必須由“哪些根憑證授權單位支援呼叫 Cisco Webex 音訊和視訊平台?”中提及的 CA 來簽署

  • “哪些根憑證授權單位支援呼叫 Cisco Webex 音訊和視訊平台?”中提及的信任封包上傳至 CUBE。

  • 憑證應永久有效:

    • 簽署的憑證必須一律具有有效的到期日。

    • 根或中間憑證必須具有有效的到期日,且不能被撤銷。

    • 憑證必須為簽署狀態,以供用戶端和伺服器使用。

    • 憑證必須包含完整網域名稱 (FQDN) 作為憑證中的一般名稱或主體別名,且在 Control Hub 中應選擇 FQDN。 例如:

      • 從您組織的 Control Hub 進行設定的 trunk(使用 london.lgw.cisco.com:5061作為 FQDN)必須在憑證 CN 或 SAN 中包含 london.lgw.cisco.com

      • 從您組織的 Control Hub 進行設定的 trunk(使用 london.lgw.cisco.com作為 SRV)必須在憑證 CN 或 SAN 中包含 london.lgw.cisco.com。 在 SAN 中,SRV 位址所解析(CNAME/A 記錄/ IP 位址)的記錄為選填。

    • 您可以與多個本機閘道共用憑證,但是,請確保其符合 FQDN 的需求。

超出範圍

本文章不包括以下與網路安全相關的資訊:

  • 針對 CA 和密碼的 F5 需求

  • 用於下載 Webex 防火牆規則的 API(適用於 HTTP)。

  • 信任封包的 API

  • 防火牆需求和 ALG 停用